mah_one

61 de la ce vine?... oare sa fie varsta? P.S.: Multi inainte. Apropo, nu prea ti-a mers testul....

Nu e XSS, iar eroarea respectiva este din cauza ca site-ul respectiv foloseste tiles, iar in fisierul de configurare "tracking.title" nu exista.

Nu aveam date importante acolo, dar pentru ca in request aparea un keyword ca "pass", cineva a fost foarte curios sa vada ce este. ip-urile alea sunt din amazon, nu cred ca il poate gasi cineva pe cel care mi-a intrat pe pagina aia.

Am inceput pe 9 dec 2013 un studiu (nu doresc sa intru in detalii) si am cumparat o masina virtuala cu windows server 2008 de la godaddy. La ora 23 am platit catre ei, pe la 12 noaptea ei mi-au trimis datele de autentificare. Mi-am instalat rapid un apache server si am pus niste script-uri (nu e nimic ilegal). Tot pe server, tineam o pagina pentru loguri la anumite chestii, loguri neinteresante, dar am zis totusi sa pun parola. Dupa o ora, se poate vedea mai jos din access_log, cineva a stiut sa faca request-ul perfect la server-ul meu si mi-a ghicit parola la log-urile mele fara a face un brute force. Request-urile: 54.242.94.63 - - [10/Dec/2013:01:03:04 +0200] "GET /1.php?pass=EDITED HTTP/1.1" 200 488 184.73.120.177 - - [10/Dec/2013:20:18:11 +0200] "GET /1.php?pass=EDITED HTTP/1.1" 200 9784 As vrea sa va dati cu parerea si sa imi ziceti toate posibilitatile. Cum s-a putut intampla asta si in maxim o ora dupa ce am ridicat server-ul. Pana acum eu vad doua posibilitati: - keyloger (nu cred, fiindca era gol pana acum contul de paypal si altele). - din cauza ca era trafic http, cineva a interceptat si a avut curiozitatea sa se uite. Aici as dori sa mai dezvoltati voi, am cateva scenarii in minte dar vreau si parerea voastra.

Tehnic discutand, tu cum faci o lista cu buguri la un site protejat de un firewall consacrat? Site-ul ala poate sa aibe sql si xss in toate campurile, tu tot nu gasesti acele vulnerabilitati. Uita-te mai bine la eroare cand testezi si ai sa iti dai seama. P.S.: eroarea aia e din cauza ca te-a prins incercand sa testei securitatea acelui website. In momentul acela iti va retine ip si multe alte date importante despre tine.... Pe bune acum, lasand frustrarile la o parte, va dau un sfat prietenesc. NU mai puneti link-uri cu site.com/......../?param=1 and 22=22, etc. Nu de alta, dar sunt unii care dau click pe acele link-uri si nu e ok si nu e etic. Incercati in alte site-uri unde va e permis. Iar acum un sfat pentru cei care dau click-uri, nu mai dati click pe toate link-urile, fiindca va puteti arde..... Voi nu aveti un proxy ca cei care au pus acel link, voi nu va ascundeti identitatea, iar ce faceti poate fi ilegal fara sa vreti.

Chiar nu recunosti un IBM WebSphere? /!ut/asdklajdaslkjdlaksjdlaksdjlakdsjlakdsj Hmmmm, e cam ciudata faza asta. Multumesc ca mi-ai zis (nu are legatura cu site-ul ala, chestia aia e o eroare de la un produs care l-am folosit si vreau sa vad ce s-a intamplat, poate apare in anumite circumstante....)

Cred ca iti trebuie certificat valid sa intrii pe site-ul ala... Si nu cred ca nu afecteaza nici un utilizator... Mie mi se pare un site intern si cel mai probabil au si autentificare.

Tu te plangi ca ti-a dat ddos, iar tu te lauzi ca i-ai gasit un sistem de operare fara patch-uri la zi, iar prin asta sugerezi ca i-ai spart PC-ul...... Bravo, ai spart Sistem de operare al unui copil de 15 ani si te lauzi pe rstforums. As prefera sa nu mai comentez in rest, fiindca nu imi este clar daca esti cine pretinzi ca esti. Iti dau un sfat, nu mai intra pe "georgemihai" ever si nu recunoaste nimic din ce ai scris pe rstforum. P.S.: EPIC FAIL!

Sal, Mai stiti problema din paypal prin care intram in conturi (nu main site) doar cu user, iar la parola puneam SHA1(username)? Eh, acum au mai evoluat cei din grupul eBay si am gasit ceva asemantor. In unul din site-uri se face autentificare la orice cont in felul urmator: username_param=useranme&password_param=username + globalSalt. Pe scurt, la parola pui username+salt, iar salt e la fel pentru toti:)) (nu mai mentionez ca e cel mai tare salt pe care l-au putut alege:))). O sa postez si un filmulet dupa ce rezolva...

Asa mi-au facut si mie cu multe dintre problemele raportate... Mi-au dat 500$ pe XSS si CSRF si cand le-am zis ca mi-au dat doar atat si-au cerut scuze si mi-au dat si restul de 250$ ramasi.

))))))))))))))) Va arat mai tarziu... le-am trimis o vulnerabilitate acolo si de aia. Sper sa imi raspunda cu $$$$$. Foarte tare, nu stiu sigur daca primesc ceva, dar eu le-am facut recomandarea si le-am aratat si de ce... Google said: "Google transcodes the images so that senders then can't use them to retrieve recipients' IP address and location" Mda, le-am aratat ceva mult mai grav. Am facut deja niste teste si se poate face mult mai mult de atat, se poate face phishing la conturi.

Iti recomand pentest academy. Cursurile sunt sub forma de video-uri, unele au si prezentari (.ppt) si sunt tinute de Vivek Ramachandran. Are foarte multe video-uri interesante si foarte bine explicate. Eu zic ca se merita.

Buna, Imi cer scuze ca mai fac inca un thread cu aceasi tema. Vreau sa le multumesc celor care au votat aseara pe celalalt thread cu aceeasi tema. Va rog sa intrati acum, intr-un alt tab, pe YouTube si sa va uitati daca ati accesat youtube pe http sau pe https (redirect case). P.S.: va fi ultimul thread de acest gen. Multumesc, Cernica Ionut

Mda, a doua posibilitate este sa strang 3000$. So, cam pica ce vroiam sa fac:(

Sper ca nu puneti https doar pentru ca va e frica ca va fac "man-in-the-middle" . Nici nu am cum. Deja am primit acuze. Vreau sa stiu daca se merita sa incep un research.

Buna, Am o rugaminte la toti cei care citesc acest mesaj. Va rog sa intrati acum, intr-un alt tab, pe http://facebook.com si sa va uitati daca ati accesat facebook pe http sau pe https (redirect case). Multumesc, Cernica Ionut

NU, ironia este ca sunt altii care cunosc windows-ul mult mai bine decat Microsoft. Ex: Mozilla && Google.

Imi cer scuze de double post, dar uitati ce mi-au raspuns la o chestie asemanatoare: Am zis asemanatoare, fiindca este nevoie de un simplu click pe ceva ce foarte multi oricum dau si nici nu banuiesc ce se ascunde. Nu pot sa arat ce e la ........, fiindca va puteti da seama ce am facut. Se pot fura conturi pe google, yahoo, etc. Este nevoie de user interaction, necesita un simplu click, ca apoi sa va faca sa credeti ca trebuie sa bagati user si parola de la site-ul respectiv. Pe iphone e si mai urata faza, fiindca te face sa crezi ca trebuie user si parola de la apple si nu de la google sau yahoo.

Sa vedem cum raspund si la mine, ca am si eu ceva tare tot pe tema asta.

Sory, fac un test.

eu stau cel mai bine.... am raportat un auth bypass in site-ul principal (reset password vulnerability)..... asta a fost de foarte mult timp si am luat 500$ si ma chinui de 1 an sa ii scot de la ei.

Domnul.Do, astia de la AT&T sunt cei mai idioti, dar nu ii depasesc pe cei de la paypal (astia sunt din alta categorie). In fine, ideea e ca eu le-am trimis w8ben si tot ce mai trebuie si le-am dat iban, swift code, etc sa imi bage banii in contul bancar. Ei mi-au zis ca au nevoie de scrisoare de la banca cum ca tot ce am zis este adevart. Aia de la banca au ramas si ei uimiti de ce cereau astia de la AT&T....

Probabil stiu la ce te referi. <img src=test:alert(alt) onerror=eval(src) alt=0> Ca sa nu mai scrii cod javascript intr-un event attribute, bypasezi cu schema de mai sus. Edited: Sorry for double post.

Cand zici ca nu va merge " onerror=alert(1)" fiindca "=" va fi filtrat, imi lasa impresia ca ghilimelele nu sunt filtrate. Iar de aici am sa trag o prima concluzie: Pe exemplu de mai sus, in care te folosesti de <img> html tag, nu exista modalitate prin care sa treci de filtru (latest ver. of Firefox, Chrome si IE). Ideea este ca daca filtrezi '=' nu mai poti executa javascript decat daca input-ul utilizatorului este inserat intr-un event attribute. Ex: <style/onload = !-alert(1)> Poti sa faci tot felul de encodari. SAU <style/onload = !-\u0061\u006c\u0065\u0072\u0074(1)> <object data=jAvascriPt://%00%0d%0aalert(3)//> STYLE=xss:expression(alert(1)) merge doar pe IE - (merge sigur pe IE9 dar nu am testat pe IE10) Daca filtrezi "'>< nu are rost sa mai adaugi si =, e o operatie in plus

Prietene, tu vorbesti?